بات‌نت پروانه چطور شکست خورد

ابوالفضل کریمی: در طول 12 ماه گذشته از کار انداختن یکی از بزرگ‌ترین بات‌نت‌های فضای وب به نام پروانه یا ماریپوسا توجه بسیاری از کارشناسان امنیت فضای مجازی برانگیخت. اما نکته جالب‌تر این است که اداره‌کنندگان این شبکه بزرگ، افرادی بودند که اطلاعات بسیار کمی در مورد علوم کامپیوتر داشتند!

به گزارش بی‌بی‌سی، این شبکه‌ها معمولا کامپیوترهای خانگی را سرقت کرده و از آن‌ها برای رسیدن به اهداف خود استفاده می‌کنند. امروزه بات‌نت‌ها به ابزار پایه بسیاری از سارقان فضای مجازی تبدیل شده‌اند. نگهداری از این شبکه‌ها، یافتن قربانیان جدید و استفاده از آن‌ها به بخش مهمی از اقتصاد مجرمین در فضای مجازی بدل شده است.

اکثر هرزنامه‌ها از طریق کامپیوترهای بات‌نت‌ها فرستاده می‌شوند. این کامیپوترها برای حملات مرحله‌ای روی وب‌سایت‌ها مورد استفاده قرار می‌گیرند و ماشین‌هایی که آن‌ها را شکل می‌دهند، برای به دست آوردن اطلاعات قابل فروش مانند شماره کارت‌های اعتباری و اطلاعات ورودی بازی‌ها مورد استفاده قرار می‌گیرند.

پیدا کردن اتفاقی مجرمان
از کار انداختن بات‌نت‌های پروانه یا ماریپوسا یکی از موفقیت‌های بزرگ در زمینه امنیت فضای مجازی است. علت نام‌گذاری این بات‌نت به این دلیل بود که برای ساخت آن از بات‌کیت پروانه استفاده شده بود.

بات‌نت پروانه یا ماریپوسا از 12.7 میلیون کامپیوتر تشکیل شده بود. این بات‌نت به قدری مشکل ایجاد کرده بود که شرکت‌های امنیتی و آژانس‌های اجرای قانون یک گروه کاری ماریپوسا تشکیل دادند تا روی تحقیقات در مورد آن متمرکز شوند. سرانجام پس از ماه‌ها تلاش و همکاری، در دسامبر 2009 / آذر 1388 سه نفر از افرادی که که کل این شبکه را اداره می‌کردند، دستگیر شدند.

لوئیس کورونس از محققان ارشد شرکت امنیتی پاندا نقش مهمی در تحقیقات در مورد ماریپوسا داشت. او در این باره گفت: «هدف اصلی ما از کار انداختن این بات‌نت بود، البته علاوه بر آن ما به دنبال پیدا کردن سازندگان و اداره‌کنندگان این بات‌نت‌ هم بودیم. کاری که در اکثر موارد انجام آن غیر ممکن است».

پیدا کردن آن‌ها فقط زمانی ممکن شد که یکی از کنترل‌کنندگان این بات‌نت به طور تصادفی نت آدرس کامپیوتر خانه‌اش را فاش کرد.

آقای کورونس در این باره گفت: «در این مورد ما بسیار خوش‌شانس بودیم. زمانی که من آدرس آی.پی را پیدا کردم، متوجه شدم که مکان این فرد در اسپانیاست. در آن موقع باید چهره مرا می‌دیدید، چرا که یکی از اداره‌کنندگان این بات‌نت که مدتی برای ما مشکلات بسیاری ایجاد کرده بود، فقط چند کیلومتر از آزمایشگاه بیل‌بااو شرکت پاندا که من در آن کار می‌کردم، فاصله داشت.

بی‌سواد‌ها، اداره کننده بات‌نت‌های بزرگ!
در اواخر ماه مارس / فروردین امسال، آقای کورونس در حال آماده شدن برای یک ملاقات در آزمایشگاه بیل‌بااو با یک روزنامه‌نگار بود. اما قبل از شروع گفتگو دو نفر غریبه به نزد او آمدند. یکی از آن‌ها از او پرسید که آیا شما لوئیس کورونس هستید. آقای کورونس جواب مثبت داد، اما نمی‌دانست که این دو نفر چه کسانی می‌توانند باشند.

سپس آن دو خود را معرفی کردند. یکی از آن‌ها خود را استیاتور و دیگری خود را نتکایرو معرفی کرد. آقای کورونس در این باره گفت: «تازه در آن زمان بود که من متوجه شدم این افراد همان‌هایی هستند که در پرونده ماریپوسا دستگیر شده بودند. به نظر می‌رسید که آن‌ها می‌خواستند به من یک درس حسابی بدهند»!

زمانی که آقای کورونس از آن‌ها پرسید که به دنبال چه چیزی هستند، موضوع عجیب‌تر هم شد. آن دو گفتند که با از کار افتادن ماریپوسا زندگی ما به طور کامل فلج شده، چرا که دیگر هیچ شغل و درآمدی نداریم و سپس، از کورونس خواستند که در شرکت امنیتی پاندا کار کنند!

کورونس هم در پاسخ آن‌ها گفت: «اداره کردن بات‌نت ماریپوسا چیزی نیست که بتواند به آن‌ها در استخدام شدن در یک شرکت امنیتی کمک کند». با این حال این دو نفر به پافشاری خود ادامه دادند و حتی شروع به پیام گذاشتن در توئیتر و بلاگ آقای کورونس کردند.

اما پاسخ آقای کورونس به آن‌ها این بود که: «نه پاندا و نه هیچ شرکت کامپیوتری امنیتی دیگر، شخصی را که در حال فعالیت در زمینه‌های مجرمانه در فضای وب بوده، استخدام نخواهد کرد».

اما نتکاریو به آقای کورونس گفت: «هنوز ما متهم نشده‌ایم و هیچ کس نمی‌داند که ما یکی از افراد فعال در این زمینه بوده‌ایم، خصوصا این‌که اداره کردن یک بات‌نت در اسپانیا جرم محسوب نمی‌شود».
جالب‌تر این‌جاست که آن‌ها دارای تخصص و اطلاعات کافی برای استخدام در یک شرکت کامپیوتری هم نبودند. بعد از چند بار ملاقات، آقای کورونس متوجه شد اداره‌کنندگان یکی از بزرگ‌ترین بات‌نت‌های اطلاعات فنی بسیار ناچیزی دارند.

در حقیقت به آن‌ها بات‌نت و تمام ابزارهای لازم داده شده بود و این افراد فقط بلد بودند با آن کار کنند. درست مانند این است که شخصی نتواند یک برنامه ورد بنویسد، اما بتواند با آن کار کند.

این موضوع نشان می‌دهد که امروزه جرائم فضای مجازی در بین مردم عادی نیز رواج زیادی پیدا کرده است. امروزه افرادی که تقریبا هیچ مهارت فنی ندارند، می‌توانند با اداره یکی از بزرگ‌ترین بات‌نت‌های ساخته شده تا زمان حال، درآمد خوبی داشته باشند و این بدان معنی است که امروزه افراد ماهر فقط تروجان‌ها و بات‌نت‌ها را می‌نویسند و در اختیار دیگران قرار می‌دهند. اداره‌کنندگان این شبکه‌ها و ابزارها اشخاصی هستند که بعضا ممکن است هیچ اطلاعی در مورد کامپیوترها و شبکه‌ها نداشته باشند!